Worm.Win32.Agent.az分析
2008-02-23 07:20:44来源:互联网 阅读 ()
病毒标签:
病毒名称: Worm.Win32.Agent.az
病毒类型: 蠕虫类
文件 MD5: 662122C6F05E39AD820F7EA125EF25D9
公开范围: 完全公开
危害等级: 4
文件长度: 加壳后 15,614 字节,脱壳后66,560 字节
感染系统: Win9X以上系统
开发工具: Microsoft Visual C 6.0
加壳类型: NsPack变形壳
命名对照: BitDefender [GenPack:Generic.Malware.Bdldg.FAE17B32]
病毒描述:
该病毒运行后,衍生病毒文件到系统目录下。添加注册表随机运行项以随机引导病毒体。
病毒体访问某动态更新的病毒地址页面,从而获得病毒的更新下载地址。下载的病毒体多为
网络游戏盗号程序。
行为分析:
1 、衍生下列副本与文件:
%C:%\autorun.inf
%C:%\rising.exe
%WinDir%\cmdbs.exe
%WinDir%\macfee.exe
%WinDir%\mppds.exe
%WinDir%\msccrt.exe
%WinDir%\testexe.exe
%WinDir%\winform.exe
%System32%\6D52D174.EXE
%System32%\B0B2C20E.DLL
%System32%\B0B2C20E.EXE
%System32%\cmdbs.dll
%System32%\macfee.dll
%System32%\mppds.dll
%System32%\msccrt.dll
%System32%\testdll.dll
%System32%\winform.dll
2 、新建注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmdbs
Value: String: "%WINDIR%\cmdbs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\macfee
Value: String: "%WINDIR%\macfee.exe /i"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mppds\
Value: String: "%WINDIR%\mppds.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msccrt
Value: String: "%WINDIR%\msccrt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\testrun
Value: String: "%WINDIR%\testexe.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\upxdnd
Value: String: "%DOCUME~1%\ 当前用户名 \LOCALS~1\Temp\upxdnd.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winForm
Value: String: "%WINDIR%\winform.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\sgktiq98kfb8xz
Value: String: "%\DOCUME~1%\antiy\LOCALS~1\Temp\c0nime.exe"
3 、访问下列地址获取要更新的病毒体地址:
(2*2.7*.2*0.*5) n*.5*yl*.cn /soft//update.txt
(6*.1*2.9*.9*)p*pw*n.9*8*.com /update.txt
注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 , windows95/98/me 中默认的安装路径是 C:\Windows\System , windowsXP 中默认的安装路径是 C:\Windows\System32 。
--------------------------------------------------------------------------------
清除方案:
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线断开网络,结束病毒进程:
rising.exe
macfee.exe
mppds.exe
cmdbs.exe
msccrt.exe
testexe.exe
winform.exe
6D52D174.EXE
B0B2C20E.DLL
B0B2C20E.EXE
(2) 删除并恢复病毒添加与修改的注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\cmdbs
Value: String: "%WINDIR%\cmdbs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\macfee
Value: String: "%WINDIR%\macfee.exe /i"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\mppDs\
Value: String: "%WINDIR%\mppds.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\msccrt
Value: String: "%WINDIR%\msccrt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\testrun
Value: String: "%WINDIR%\testexe.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\upxdnd
Value: String: "%DOCUME~1%\ 当前用户 \
LOCALS~1\Temp\upxdnd.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\winform
Value: String: "%WINDIR%\winform.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\sgktiq98kfb8xz
Value:String:"%\DOCUME~1%\antiy\LOCALS~1\Temp\c0nime.exe"
(3) 删除病毒释放文件:
%C:%\autorun.inf
%C:%\rising.exe
%WinDir%\cmdbs.exe
%WinDir%\macfee.exe
%WinDir%\mppds.exe
%WinDir%\msccrt.exe
%WinDir%\testexe.exe
%WinDir%\winform.exe
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
